OpenSSL ประกาศบั๊กตามที่แจ้งไว้ล่วงหน้า แก้บั๊กความร้ายแรงสูงสองตัว ได้แก่ บั๊ก FREAK ที่เป็นข่าวไปเมื่อต้นเดือนที่ผ่านมา และบั๊กใหม่ที่ทำให้เซิร์ฟเวอร์ล่มได้จากการเชื่อมต่อจากภายนอก

บั๊ก FREAK (CVE-2015-0204) เป็นบั๊กของ OpenSSL ร่วมกับการคอนฟิกแบบเก่าๆ ที่เปิดชุดการเข้ารหัสแบบอ่อนแอเอาไว้ แฮกเกอร์จะสามารถบังคับให้ผู้ใช้เชื่อมต่อการเข้ารหัสที่อ่อนแอเหล่านั้นได้ หากอัพเดตบั๊กนี้แม้จะเปิดการเข้ารหัสเหล่านั้นไว้ แฮกเกอร์ก็ไม่สามารถบังคับให้ผู้ใช้ไปเชื่อมต่อด้วยชุดการเข้ารหัสที่่อ่อนแอเหล่านั้นได้อีกต่อไป บั๊กนี้มีผลกับ OpenSSL 3 ตระกูลได้แก่ 1.0.1, 1.0.0, และ 0.9.8

ส่วนบั๊กใหม่คือ ClientHello sigalgs DoS (CVE-2015-0291) เป็นบั๊กที่หากเครื่องไคลเอนต์เชื่อมต่อเข้ามาโดยเลือกใช้กระบวนวิธีที่ไม่ถูกต้อง (invalid signature algorithms) จะทำให้เกิดการคืนหน่วยความจำที่ค่า NULL (NULL pointer dereference) ส่งผลให้โปรเซสเซิร์ฟเวอร์อาจจะล่มไป แฮกเกอร์จะยิงให้บริการล่มได้โดยง่าย บั๊กนี้มีผลเฉพาะรุ่น 1.0.2 เท่านั้น

ในแพตช์ชุดเดียวกันยังมีบั๊กร้ายแรงระดับกลางและต่ำอีกหลายตัว บั๊กบางตัวสามารถทำให้เซิร์ฟเวอร์ล่มได้เหมือนกัน อย่างไรเสียควรรีบติดตั้งแพตช์กันโดยเร็ว

ที่มา - OpenSSL